https://codedchords.dev
•
This is a web feed, also known as an Atom feed. Subscribe by copying the URL from the address bar into your newsreader. Visit About Feeds to learn more and get started. It's free.
Visit website
Recent posts
Updated on $DATE
date
Mail
Coded Chords - Mail
A personal blog
Zola2026-03-03T00:00:00+00:00https://codedchords.dev/tags/mail/atom.xml
SPFのDNSルックアップ上限10回、あなたの組織は大丈夫?
2026-03-03T00:00:00+00:00
2026-03-03T00:00:00+00:00
Toshiyuki Yoshida
https://codedchords.dev/blog/2026/03/spf-lookup-limit-risk/
<!-- textlint-disable -->
<p><img
src="https://codedchords.dev/blog/2026/03/spf-lookup-limit-risk/cover.webp?h=bc1f2cf07dfaabe490a7"
alt="Cover" width="1792" height="1024" loading="lazy"
/>
<div class="admonition info">
<div class="admonition-icon admonition-icon-info"></div>
<div class="admonition-content">
<strong class="admonition-title">転載元</strong>
<p>この記事は <a rel="external" href="https://zenn.dev/yostos/articles/spf-lookup-limit-risk">Zenn</a> に掲載した記事の転載です。</p>
</div>
</div>
</p>
<!-- textlint-enable -->
<details>
<summary>Table of Contents</summary>
<!-- toc -->
</details>
<h2 id="はじめに">はじめに</h2>
<p>「ある日突然、自組織からのメールが取引先に届かなくなった」——そんな事態が、メール配信サービスを複数利用している組織で実際に起こり得ます。原因は、SPF(Sender Policy Framework)のDNSルックアップ上限です。</p>
<p>外部のメール配信サービスを導入するたびにSPFレコードへ <code>include</code> を追加していくと、気づかないうちに上限へ近づきます。しかも、上限超過のトリガーは自組織の操作ではなく、外部サービス側の設定変更かもしれません。</p>
<p>本記事では、SPFのDNSルックアップ上限の仕組みを解説し、上限超過のリスクと対策を整理します。</p>
<h2 id="SPFの仕組みとDNSルックアップ上限">SPFの仕組みとDNSルックアップ上限</h2>
<p>SPFは、メールの送信元ドメインが「どのサーバーからの送信を許可しているか」をDNSのTXTレコードで宣言する仕組みです。受信側メールサーバーは、送信元IPアドレスがSPFレコードに含まれているかを検証し、正当な送信元かどうかを判断します。</p>
<p>SPFレコードの例を示します。</p>
<pre class="giallo z-code"><code data-lang="plain"><span class="giallo-l"><span>v=spf1 ip4:192.0.2.0/24 include:spf.example.com ~all</span></span></code></pre>
<p>この例では、<code>192.0.2.0/24</code> のIPレンジからの送信と、<code>spf.example.com</code> が許可する送信元を正当とみなします。</p>
<p>SPFの検証は受信側メールサーバーで行われます。メールを受け取ったサーバーが送信元ドメインのSPFレコードをDNSに問い合わせ、送信元IPが許可されているかを確認します。この検証過程でDNSルックアップが発生しますが、RFC 7208(Section 4.6.4)により、1回のSPF検証で実行できるDNSルックアップは最大10回と制限されています。この制限は、SPF検証によるDNSサーバーへの負荷を防ぐために設けられたものです。</p>
<p>すべてのメカニズムがDNSルックアップを消費するわけではありません。消費するメカニズムとしないメカニズムを表にまとめます。</p>
<table><thead><tr><th>メカニズム / 修飾子</th><th>DNSルックアップ</th></tr></thead><tbody>
<tr><td><code>ip4</code> / <code>ip6</code></td><td>0回(IP直接指定のためDNS不要)</td></tr>
<tr><td><code>a</code></td><td>1回</td></tr>
<tr><td><code>mx</code></td><td>1回(+MXレコードが指すAレコードの解決)</td></tr>
<tr><td><code>include</code></td><td>1回 + 参照先のSPFレコード内のルックアップ</td></tr>
<tr><td><code>redirect</code></td><td>1回</td></tr>
<tr><td><code>exists</code></td><td>1回</td></tr>
</tbody></table>
<p>重要なのは <code>include</code> の挙動です。<code>include</code> は参照先のSPFレコードをさらに評価するため、参照先に <code>include</code> や <code>a</code> が含まれていれば、それらも合算されます。つまり、1つの <code>include</code> が実際には複数回のルックアップを消費する場合があります。</p>
<h2 id="includeの入れ子で上限に近づく実例">includeの入れ子で上限に近づく実例</h2>
<p>架空の組織 <code>example.or.jp</code> を例に考えます。この組織では業務メールに加えて、メールマガジン配信に3つの外部サービスを利用しています。SPFレコードは以下のようになっています。</p>
<pre class="giallo z-code"><code data-lang="plain"><span class="giallo-l"><span>v=spf1 ip4:192.0.2.0/29 ip4:198.51.100.1 include:spf.mail-a.example include:spf.mail-b.example include:spf.mail-c.example include:spf.bizmail.example ~all</span></span></code></pre>
<p>各エントリのDNSルックアップ数を確認します。</p>
<table><thead><tr><th>エントリ</th><th>DNSルックアップ</th></tr></thead><tbody>
<tr><td><code>ip4:192.0.2.0/29</code></td><td>0回(IP直接指定)</td></tr>
<tr><td><code>ip4:198.51.100.1</code></td><td>0回(IP直接指定)</td></tr>
<tr><td><code>include:spf.mail-a.example</code></td><td>1回</td></tr>
<tr><td><code>include:spf.mail-b.example</code></td><td>1回 + 内部で3回 = 4回</td></tr>
<tr><td><code>include:spf.mail-c.example</code></td><td>1回</td></tr>
<tr><td><code>include:spf.bizmail.example</code></td><td>1回</td></tr>
<tr><td><strong>合計</strong></td><td><strong>7回 / 上限10回</strong></td></tr>
</tbody></table>
<p>一見すると余裕がありそうですが、問題は <code>spf.mail-b.example</code> の内部構造です。このSPFレコードは以下のようになっています。</p>
<pre class="giallo z-code"><code data-lang="plain"><span class="giallo-l"><span>v=spf1 exists:%{i}.spf.mail-b1.example exists:%{i}.spf.mail-b2.example include:spf.mail-b3.example ~all</span></span></code></pre>
<p><code>include</code> 1つで4回のルックアップを消費しています。そして、この内訳は外部サービス側の設定に依存しています。</p>
<p>ここに大きなリスクがあります。外部サービスがインフラ変更に伴いSPFレコードへ <code>include</code> や <code>a</code> を追加すれば、自組織が何も変更していなくてもルックアップ数が増加します。たとえば <code>spf.mail-b.example</code> が内部で1つ <code>include</code> を追加するだけで、合計は8回になり、上限までわずか2回です。さらに別のサービスも同様の変更をすれば、上限を超えてしまいます。</p>
<h2 id="上限を超えるとどうなるか">上限を超えるとどうなるか</h2>
<p>SPFのルックアップ数が10回を超えると、SPFの検証結果は <code>permerror</code>(恒久的エラー)になります。これは「SPFレコードが壊れている」とみなされる状態です。</p>
<p><code>permerror</code> が発生すると、受信側メールサーバーの設定に応じて以下のいずれかが起こります。</p>
<ul>
<li>メールが拒否される(バウンス)</li>
<li>迷惑メールフォルダに振り分けられる</li>
<li>DMARCのSPF判定がfailとなり、DMARCポリシー次第でメールが拒否される</li>
</ul>
<p>特に厄介なのは、この問題が自組織側からは気づきにくい点です。送信自体は正常に行われ、送信者にはエラーが返らない場合もあります。受信側で静かにスパム判定されるため、「最近メールの返信が来ない」「メルマガの開封率が急落した」といった間接的な兆候で初めて気づくことになります。</p>
<h2 id="自分のドメインのルックアップ数を確認する方法">自分のドメインのルックアップ数を確認する方法</h2>
<p><code>dig</code> コマンドでSPFレコードの内容を確認できます。</p>
<pre class="giallo z-code"><code data-lang="shellscript"><span class="giallo-l"><span class="z-entity z-name z-function">dig</span><span class="z-string"> +short TXT example.or.jp</span><span class="z-keyword z-operator"> |</span><span class="z-entity z-name z-function"> grep</span><span class="z-string"> spf</span></span></code></pre>
<p>表示されたSPFレコードに含まれる <code>include</code> 先も再帰的に確認する必要があります。</p>
<pre class="giallo z-code"><code data-lang="shellscript"><span class="giallo-l"><span class="z-entity z-name z-function">dig</span><span class="z-string"> +short TXT spf.mail-b.example</span></span></code></pre>
<p>手動での再帰的な確認は手間がかかるため、オンラインツールの利用も有効です。</p>
<ul>
<li><strong>MXToolbox SPF Record Lookup</strong> — SPFレコードの内容とDNSルックアップ数を自動計算してくれる</li>
<li><strong>dmarcian SPF Surveyor</strong> — SPFレコードの構造をツリー表示で可視化できる</li>
</ul>
<p>これらのツールにドメイン名を入力するだけで、現在のルックアップ数と上限までの余裕を確認できます。定期的にチェックしておくことをお勧めします。</p>
<h2 id="対策">対策</h2>
<p>SPFルックアップ上限の問題に対して、短期的な対策と中長期的な対策があります。</p>
<p>まず短期的な対策として、メール送信経路を棚卸しします。SPFレコードに登録されている <code>include</code> やIPアドレスが、現在も使われているかを確認します。利用を終了したサービスの <code>include</code> が残っていると、ルックアップ数を無駄に消費するだけでなく、そのサービスのIPレンジが自ドメインの正当な送信元として許可されたままになります。これはなりすましに悪用されるリスクでもあります。</p>
<p>次に、メール配信サービスの統合を検討します。メルマガ配信に複数のサービスを併用している場合、1つに統合すれば <code>include</code> の数を減らせます。配信実績の分析も一元化でき、コスト管理も簡素化されます。</p>
<p>これらの根本対策とは別に、技術的な回避策も存在します<sup class="footnote-reference" id="fr-spf-workaround-1"><a href="#fn-spf-workaround">1</a></sup>。ただし運用上の注意点があるため、まずは送信経路の整理を優先すべきです。</p>
<p>最後に、中長期的な対策としてDMARCポリシーの段階的強化があります。DMARCはSPFとDKIMの認証結果に基づいて、認証失敗時のメール処理方針を宣言する仕組みです。ポリシーは以下の順で強化します。</p>
<ol>
<li><code>p=none</code>(監視モード)でDMARCレポートを収集し、全送信経路の認証状況を把握する</li>
<li>全経路でSPF・DKIMがpassすることを確認したうえで <code>p=quarantine</code>(隔離)に移行する</li>
<li>一定期間の監視後、問題がなければ <code>p=reject</code>(拒否)に移行する</li>
</ol>
<p>送信経路が整理されていれば、この移行は技術的には難しくありません。逆に、送信経路が乱立したままでは各経路の認証状況を把握すること自体が困難であり、DMARC強化は事実上不可能です。</p>
<h2 id="まとめ">まとめ</h2>
<p>SPFのDNSルックアップ上限10回は、メール配信サービスを複数利用する組織にとって見落とされがちなリスクです。外部サービスの <code>include</code> は入れ子構造でルックアップ数が膨らみ、しかも外部サービス側の変更で自組織のルックアップ数が増加するという、制御しにくい特性があります。</p>
<p>まずは自分のドメインの現在のルックアップ数を確認してみてください。上限に近づいている場合は、不要な <code>include</code> の削除やサービスの統合を検討し、DMARCポリシーの強化と合わせてメール配信の信頼性を確保していくことが重要です。</p>
<section class="footnotes">
<ol class="footnotes-list">
<li id="fn-spf-workaround">
<p>技術的な回避策としてSPF MacroとSPF flatteningがあります。SPF Macroは <code>exists</code> メカニズムと変数を組み合わせてルックアップ数を抑える手法です。SPF flatteningは <code>include</code> 先のIPアドレスを直接 <code>ip4</code> / <code>ip6</code> で記述してルックアップを削減する手法です。ただしflatteningは参照先のIPが変更されたときに追従が必要なため、自動化ツールなしでの運用は推奨しません。 <a href="#fr-spf-workaround-1">↩</a></p>
</li>
</ol>
</section>
SPFにはDNSルックアップ上限10回の制約があり、外部メール配信サービスのincludeが入れ子で膨らむと意図せず超過するリスクがあります。上限超過の仕組みと確認方法、対策を解説します。